Authentification

API BCE propose deux méthodes d’authentification. La plupart des intégrations utilisent les en-têtes de clé API ; les applications développeurs peuvent utiliser OAuth2.

Clé API + secret (recommandé)#

Envoyez les deux en-têtes à chaque requête :

X-API-Key — l’identifiant public de votre clé
X-API-Secret — votre secret privé

curl https://companybelgium.be/api/v2/enterprise/0403.170.701 \
  -H "X-API-Key: $API_KEY" \
  -H "X-API-Secret: $API_SECRET"

⚠️

N’exposez jamais votre secret API dans du code côté client, des applications mobiles ou des dépôts publics. Appelez l’API depuis votre backend.

OAuth2 (applications développeurs)#

Les applications développeurs peuvent échanger un client_id et un client_secret contre un jeton bearer de courte durée via le grant client_credentials.

curl -X POST https://companybelgium.be/api/oauth/token \
  -H "Content-Type: application/x-www-form-urlencoded" \
  -d grant_type=client_credentials \
  -d client_id=$CLIENT_ID \
  -d client_secret=$CLIENT_SECRET

Envoyez ensuite le jeton dans l’en-tête Authorization au lieu des en-têtes de clé API :

curl https://companybelgium.be/api/v2/enterprise/0403.170.701 \
  -H "Authorization: Bearer $ACCESS_TOKEN"

ℹ️

Voir la référence Jetons OAuth pour la durée de vie et les portées.